Pubblicità - Garante Privacy: sì al totem purché i passanti ricevano l’informativa stratificata

Il Garante Privacy, con provvedimento reso noto dalla newsletter n. 437 del 26 gennaio 2018, ha stabilito che sono ammessi i totem promozionali presso le stazioni ferroviarie solo in presenza di un’informativa in forma semplificata e stratificata, attraverso cartelli sintetici posizionati nelle vicinanze di ogni totem pubblicitario e ulteriori informative.

Tale decisione è stata presa dal Garante in seguito ad alcune segnalazioni relative alla presenza di apparati promozionali del tipo “digital signage” nelle principali stazioni ferroviarie italiane.

La società titolare del diritto di sfruttamento commerciale, in esclusiva, degli spazi pubblicitari presenti nei complessi immobiliari delle maggiori stazioni ferroviarie italiane, ha istallato in quest’ultime impianti pubblicitari digitali (500 colonnine pubblicitarie), con webcam integrate, presso alcune aree largamente frequentate dal pubblico per finalità di analisi dell’audience pubblicitaria.

La società, sottoposta all’istruttoria del Garante, ha affermato che le colonnine pubblicitarie sono dotate di uno schermo, di un apparato pc/media player e di sensori in grado di effettuare la racconta di dati mediante l’utilizzo dell’applicazione VidiReports, in grado di analizzare le immagini raccolte dal sensore video istallato sulla colonnina al fine di:

- determinare la presenza di un volto umano nell’area ripresa, senza però identificarlo attraverso caratteristiche biometriche specifiche;

- rilevare il tempo di permanenza di fronte alla pubblicità;

- fornire alcune informazioni tratte dalle caratteristiche del volto quali: sesso, fascia d’età, distanza dalla colonnina, oltre che analizzare l’espressione facciale dei passanti (da felice a triste);

- effettuare analisi statistiche volte ad individuare il livello di gradimento dei diversi messaggi pubblicitari.

La società in questione ha ribadito che non vi è nessuna possibilità di tracciamento del percorso delle persone e che le immagini analizzate dal sistema non sarebbero in nessun caso trasmesse all’esterno né inviate ad alcun altro sistema della Società.

Alla luce di quanto rappresentato e affermato dalla società, il Garante Privacy ha rilevato che: “le caratteristiche funzionali dell’applicativo VidiReports, in relazione alla tipologia di informazioni raccolte e alle modalità di cancellazione pressoché immediata delle immagini degli interessati, sono tali che nessun dato personale resta memorizzato in modo duraturo nel sistema; inoltre, stando a quanto dichiarato in atti, il sistema è configurato sulla base di algoritmi di mera “face detection” e non di “face recognition”, per cui non è in grado di identificare il volto dell’individuo attraverso dati biometrici”.

Quindi, l’Autorità ha ritenuto che il trattamento effettuato dalla società sia conforme ai principi posti dagli articoli 3 e 11 del Codice Privacy, e, in particolare, l’impiego di software di elaborazione in grado di estrapolare dati di tipo statistico dalle immagini riprese in modo pressoché immediato, senza elaborazioni biometriche né registrazioni di immagini, valgono a far ritenere che siano previste adeguate cautele affinché non siano messi a rischio i diritti e le libertà fondamentali, nonché la dignità e la riservatezza degli interessati.

Il Garante ha stabilito che la Società è tenuta a fornire ai passanti un’informativa in forma semplificata, ai sensi dell’articolo 13, comma 3, del Codice, attraverso cartelli sintetici posizionati nelle vicinanze dei totem pubblicitari, messaggi che dovranno comunque essere integrati da più complete informative, rese agevolmente disponibili sul sito della Società titolare, nonché attraverso un QR code da posizionare sulla stessa vetrofania.

Per concludere, il Garante ha previsto che la società è, inoltre, tenuta ad adottare le misure necessarie per implementare un monitoraggio almeno semestrale dello stato dei dispositivi, con specifico riguardo alla webcam, al fine di evidenziare eventuali malfunzionamenti, indisponibilità degli apparati o tentativi di accesso fraudolento agli stessi.

(Garante per la protezione dei dati personali, Provvedimento 21 dicembre 2017, n. 551)